АРБИТРАЖНЫЙ СУД ГОРОДА МОСКВЫ
115191, г.Москва, ул. Большая Тульская, д. 17
http://www.msk.arbitr.ru
Именем Российской Федерации
РЕШЕНИЕ
5 мая 2017 года Дело № А40-5250/17-144-51
Полный текст решения изготовлен 5 мая 2017 года
Резолютивная часть решения объявлена 27 апреля 2017 года
Арбитражный суд города Москвы
в составе судьи Папелишвили Г.Н.
при ведении протокола секретарем судебного заседания ФИО,
рассмотрев в судебном заседании дело по заявлению АО «НБКИ»
к ответчику: Управление Роскомнадзора по ЦФО о признании недействительными пунктов 1 и 4 предписания № П-77/07/524-нд/1/230 от 26.08.2016 с участием:
от заявителя – ФИО (паспорт, доверенность от 09.01.2017), ФИО (паспорт, доверенность от 30.11.2016)
от ответчика – ФИО (паспорт, доверенность от 10.01.2017 №1-Д), ФИО (паспорт, доверенность от 23.01.2017 №9-Д)
УСТАНОВИЛ:
АО «НБКИ» обратилось в Арбитражный суд города Москвы с заявлением о признании недействительными пунктов 1 и 4 предписания Управления Роскомнадзора по ЦФО № П-77/07/524-нд/1/230 от 26.08.2016.
Заявитель требования поддержал по основаниям, изложенным в заявлении и письменных дополнениях к нему.
Ответчик требования отклонил по доводам, изложенным в представленном отзыве и письменных объяснениях.
Рассмотрев материалы дела, выслушав доводы представителей сторон, оценив относимость, допустимость, достоверность каждого доказательства в отдельности, а также достаточность и взаимную связь доказательств в их совокупности на основании ст.71 АПК РФ, арбитражный суд установил, что требования заявлены не обоснованно и не подлежат удовлетворению по следующим основаниям.
В соответствии с ч.4 ст.198 АПК РФ заявление может быть подано в арбитражный суд в течение трех месяцев со дня, когда гражданину, организации стало известно о нарушении их прав и законных интересов, если иное не установлено федеральным законом.
Пропущенный по уважительной причине срок подачи заявления может быть восстановлен судом.
Срок подачи заявления об оспаривании предписания Управления Роскомнадзора по ЦФО № П-77/07/524-нд/1/230 от 26.08.2016 заявителем не пропущен.
Согласно ст.198 АПК РФ организации вправе обратиться в арбитражный суд с заявлением о признании недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) органов, осуществляющих публичные полномочия, должностных лиц, если полагают, что оспариваемый ненормативный правовой акт, решение и действие (бездействие) не соответствуют закону или иному нормативному правовому акту и нарушают их права и законные интересы в сфере предпринимательской и иной экономической деятельности, незаконно возлагают на них какие-либо обязанности, создают иные препятствия для осуществления предпринимательской и иной экономической деятельности.
Таким образом, процессуальный закон устанавливает наличие одновременно двух обстоятельств, а именно, не соответствие оспариваемого акта закону или иному нормативному правовому акту и нарушение оспариваемым актом прав и законных интересов организаций в сфере предпринимательской и иной экономической деятельности, для признания недействительными ненормативных правовых актов, незаконными решений и действий (бездействия) органов, осуществляющих публичные полномочия, должностных лиц.
Из материалов дела следует, что в период с «01» августа 2016 г. по «26» августа 2016 г., на основании приказа руководителя Управления Роскомнадзора по Центральному федеральному округу №524-нд от 27.07.2016, проведена плановая выездная проверка АО «НБКИ» в части соответствия деятельности по обработке персональных данных требованиям законодательства Российской Федерации в области персональных данных.
По результатам проверки составлен акт проверки № А-77/07/524-нд/503 от 26.08.2016, приложениями к которому являются Предписание об устранении выявленного нарушения № П-77/07/524-нд/1/230 от 26.08.2016 и Справка о результатах плановой выездной проверки АО «НБКИ».
Посчитав предписание № П-77/07/524-нд/1/230 от 26.08.2016 в части необходимости включения в уведомление уполномоченного органа данных физических лиц (клиентов либо потенциальных клиентов финансовой организации) из открытых источников информации, передаваемых финансовой организации, полученных с использованием сервиса Double Data Social Link - web-ссылка, результат поиска о клиенте либо потенциальном клиенте, и сервиса Double Data Social Attributes -обработка профиля искомого физического лица в открытых источниках информации (пункт 1), а также в части указания на нарушение требований п.1 ч.1 ст. 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» в виде отсутствия согласия на обработку содержащихся в открытых источниках (социальных сетях: ВКонтакте, Одноклассними, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру) персональных данных клиента либо потенциального клиента финансовой организации, в рамках оказания услуги на основании сервиса «BIG DATA» (пункт 4) незаконным и нарушающим права и законные интересы общества в сфере предпринимательской и иной экономической деятельности, последнее обратилось с настоящим заявлением в арбитражный суд.
Согласно п.4 ст.200 АПК РФ при рассмотрении дел об оспаривании ненормативных правовых актов, решений и действий (бездействия) органов, осуществляющих публичные полномочия, должностных лиц арбитражный суд в судебном заседании осуществляет проверку оспариваемого акта или его отдельных положений, оспариваемых решений и действий (бездействия) и устанавливает их соответствие закону или иному нормативному правовому акту, устанавливает наличие полномочий у органа или лица, которые приняли оспариваемый акт, решение или совершили оспариваемые действия (бездействие), а также устанавливает, нарушают ли оспариваемый акт, решение и действия (бездействие) права и законные интересы заявителя в сфере предпринимательской и иной экономической деятельности.
При этом согласно п.5 ст.200 АПК РФ с учетом п.1 ст.65 АПК РФ обязанность доказывания соответствия оспариваемого ненормативного правового акта закону или иному нормативному правовому акту, законности принятия оспариваемого решения, совершения оспариваемых действий (бездействия), наличия у органа или лица надлежащих полномочий на принятие оспариваемого акта, решения, совершение оспариваемых действий (бездействия), а также обстоятельств, послуживших основанием для принятия оспариваемого акта, решения, совершения оспариваемых действий (бездействия), возлагается на орган или лицо, которые приняли акт, решение или совершили действия (бездействие).
Согласно п.1 Постановления Пленума ВС РФ от 01.07.1996 № 6 и Пленума ВАС РФ № 8 «О некоторых вопросах, связанных с применением части первой Гражданского кодекса Российской Федерации» если суд установит, что оспариваемый акт не соответствует закону или иным правовым актам и ограничивает гражданские права и охраняемые законом интересы юридического лица, то в соответствии со ст.ст.12 и 13 Гражданского кодекса РФ он может признать такой акт незаконным.
С учетом заявленных требований и доказательств, имеющихся в материалах дела, суд считает необходимым указать следующее.
Согласно ст. 1 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" (Далее - Закон) его сфера регулирования, связанна с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
Статья 2 Закона, устанавливает, что целью указанного Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Согласно ст.5 Закона обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных (часть 2); обработке подлежат только персональные данные, которые отвечают целям их обработки (часть 4); содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки; обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (часть 5);
В статье 3 Закона указано, что в целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Условия обработки персональных данных содержаться в ст. 6 Закона, согласно которой, обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.
Применительно к настоящему делу, следует отметить, что обработка персональных данных допускается в частности в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1);
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных) (п. 10 ч. 1).
Таким образом, говоря о персональных данных, сделанных субъектом персональных данных общедоступными, необходимы два условия:
1. персональные данные доступны неопределенному кругу лиц;
2. персональные данные предоставлены непосредственно самим субъектом.
Без письменного согласия субъекта персональных данных не представляется возможным утверждать, что они предоставлены именно указанным субъектом.
Таким образом, персональные данные, сделанные общедоступными субъектом персональных данных могут содержаться только в общедоступных источниках персональных данных.
Для этих целей, статьей 8 Закона введено определение Общедоступных источников персональных данных, согласно которой, в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
С учетом изложенного, суд приходит к выводу, что информация о субъекте (в том числе персональные данные), содержащиеся в социальных сетях (в сети Интернет), не может быть отнесена к персональным данным, сделанным субъектом общедоступными, поскольку социальные сети не являются источником общедоступных персональных данных применительно к положению ст.8 Закона.
Следует также отметить, что информация, размещаемая ее обладателями в сети "Интернет" в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных (ст. 7 Федерального закона от 27.07.2006 №149-ФЗ "Об информации, информационных технологиях и о защите информации").
Таким образом, персональные данные, обрабатываемые АО «НБКИ» в социальных сетях не были сделаны общедоступными субъектом персональных данных в связи с чем в действиях заявителя усматриваются нарушения ч.3 ст.22 и п.1 ч.1 ст.6 Федерального закона
от 27.07.2006 №152-ФЗ "О персональных данных".
При таких обстоятельствах, пункты 1 и 4 предписания Управления Роскомнадзора по ЦФО № П-77/07/524-нд/1/230 от 26.08.2016 являются законными и не нарушают права и законные интересы заявителя в сфере предпринимательской деятельности.
Следовательно, в данном случае, отсутствуют основания, предусмотренные ст.13 ГК РФ, которые одновременно необходимы для удовлетворения заявленных требований.
В соответствии со ст.201 АПК РФ арбитражный суд установив, что оспариваемый ненормативный правовой акт, решения и действия (бездействие) государственных органов, органов местного самоуправления, иных органов, должностных лиц соответствуют закону или иному нормативному правовому акту и не нарушают права и законные интересы заявителя, суд принимает решение об отказе в удовлетворении заявленного требования.
На основании изложенного и руководствуясь ст.ст.64-68, 71, 75, 81, 167-170, 176, 180, 181, 197-201АПК РФ, суд
РЕШИЛ:
Проверив на соответствие Федеральному закону от 27.07.2006 №152-ФЗ "О персональных данных", Федеральному закону от 27.07.2006 №149-ФЗ "Об информации, информационных технологиях и о защите информации" в удовлетворении заявления АО «НБКИ» о признании недействительными пунктов 1 и 4 предписания Управления Роскомнадзора по ЦФО № П-77/07/524-нд/1/230 от 26.08.2016 отказать в полном объеме.
Решение может быть обжаловано в месячный срок после его принятия в Девятый арбитражный апелляционный суд.
Судья Г.Н. Папелишвили
Источник: http://kad.arbitr.ru/Card/eb1907d9-be95-4b0e-85c7-0481aef89b31
Д Е В Я Т Ы Й А Р Б И Т Р А Ж Н Ы Й А П Е Л Л Я Ц И О Н Н Ы Й С У Д
127994, Москва, ГСП-4, проезд Соломенной cторожки, 12
адрес электронной почты: 9aas.info@arbitr.ru
адрес веб.сайта: http://www.9aas.arbitr.ru
П О С Т А Н О В Л Е Н И Е
№ 09АП-31744/2017
г. Москва Дело № А40-5250/17
27 июля 2017 года
Резолютивная часть постановления объявлена 19 июля 2017 года
Постановление изготовлено в полном объеме 27 июля 2017 года
Девятый арбитражный апелляционный суд в составе:
председательствующего судьи Лепихина Д.Е.,
судей: Яковлевой Л.Г., Кочешковой М.В.,
при ведении протокола секретарем судебного заседания ФИО,
рассмотрев в открытом судебном заседании апелляционную жалобу АО «НБКИ» на решение Арбитражного суда г. Москвы от 05.05.2017 по делу № А40-5250/17,
принятое судьей Г.Н. Папелишвили (155-51)
по заявлению АО «НБКИ»
к Управлению Роскомнадзора по ЦФО об оспаривании предписания в части, при участии:
от заявителя: ФИО по дов. от 13.11.2016;
от заинтересованного лица: ФИО по дов. от 10.01.2017, ФИО по дов. от 10.01.2017;
У С Т А Н О В И Л:
акционерное общество «Национальное бюро кредитных историй» (далее –общество) обратилось в Арбитражный суд города Москвы с заявлением о признании недействительным предписания Управления Роскомнадзора по Центральному федеральному округу (далее – управление) об устранении выявленного нарушения от 26.08.2016 № П-77/07/524-нд/1/230 в части необходимости включения в уведомление уполномоченного органа данных физических лиц (клиентов либо потенциальных клиентов финансовой организации) из открытых источников информации, передаваемых финансовой организации, полученных с использованием сервиса Double Data Social Link - web-ссылка, результат поиска о клиенте либо потенциальном клиенте, и сервиса Double Data Social Attributes - обработка профиля искомого физического лица в открытых источниках информации.
Также общество просило признать недействительным предписание управления об устранении выявленного нарушения от 26.08.2016 № П-77/07/524-нд/1/230 в части указания на нарушение требований п.1 ч.1 ст. 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» в виде отсутствия согласия на обработку содержащихся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру) персональных данных клиента либо потенциального клиента финансовой организации, в рамках оказания услуги на основании сервиса «BIG DATA».
Решением Арбитражного суда города Москвы от 05.05.2017 в удовлетворении заявленных требований обществу отказано.
Не согласившись с принятым решением, общество обратилось в Девятый арбитражный апелляционный суд с жалобой, в которой просит решение суда первой инстанции отменить, принять по делу новый судебный акт об удовлетворении заявленных требований.
В судебном заседании апелляционного суда представитель общества поддержал доводы апелляционной жалобы, просил отменить решение суда первой инстанции, поскольку считает его незаконным и необоснованным и принять по делу новый судебный акт.
В судебном заседании апелляционного суда представители управления
поддержали решение суда первой инстанции, с доводами апелляционной жалобы не согласились, считают жалобу необоснованной, просили решение суда первой инстанции оставить без изменения, а в удовлетворении апелляционной жалобы отказать.
Законность и обоснованность принятого судом первой инстанции решения проверены апелляционной инстанцией в порядке ст.ст. 266, 268 АПК РФ.
Изучив материалы дела, выслушав представителей участвующих в деле лиц, апелляционный суд приходит к выводу об отказе в удовлетворении апелляционной жалобы, оставлении оспариваемого решения без изменения по следующим основаниям.
Как следует из материалов дела, общество внесено в реестр операторов, осуществляющих обработку персональных данных, под номером 08-0031682.
В рамках осуществления данного вида деятельности общество обрабатывает содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру) персональные данные клиентов, потенциальных клиентов финансовых организаций.
Согласие клиентов на обработку таких данных у общества отсутствует.
Общество считает, что обладает правом обработки персональных данных о лицах без их согласия.
Между тем, обществом не учтено следующее.
В соответствии с п.4 ч.2 ст.22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее – Закон о персональных данных) оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, сделанных субъектом персональных данных общедоступными.
Согласно ч.1 ст.8 Закона о персональных данных в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Апелляционный суд считает, что применительно к положениям ч.1 ст.8, п.4 ч.2 ст.22 Закона о персональных данных не являются общедоступными обрабатываемые обществом персональные данные, содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру).
По смыслу Закона о персональных данных, размещение персональных данных в указанных открытых источниках, не делает их автоматически общедоступными.
Следовательно, не допускается обработка таких данных без согласия субъекта.
При изложенных обстоятельствах, суд апелляционной инстанции считает, что решение суда первой инстанции является законным и обоснованным, соответствует материалам дела и действующему законодательству, нормы материального и процессуального права не нарушены и применены правильно, судом полностью выяснены все обстоятельства, имеющие значение для дела, в связи с чем оснований для отмены или изменения решения и удовлетворения апелляционной жалобы не имеется.
Доводы, изложенные в апелляционной жалобе, не основаны на нормах права и фактических обстоятельствах дела.
Безусловных оснований для отмены оспариваемого решения суда первой инстанции, предусмотренных ч.4 ст.270 АПК РФ, апелляционным судом не установлено.
На основании изложенного, руководствуясь ст. ст. 266, 268, 269, 271
Арбитражного процессуального кодекса Российской Федерации Девятый арбитражный апелляционный суд
П О С Т А Н О В И Л:
решение Арбитражного суда г. Москвы от 05.05.2017 по делу № А40-5250/17 оставить без изменения, апелляционную жалобу – без удовлетворения.
Постановление вступает в законную силу со дня его принятия и может быть обжаловано в течение двух месяцев со дня изготовления постановления в полном объеме в Арбитражный суд Московского округа.
Председательствующий судья: Д.Е. Лепихин
Судьи: М.В. Кочешкова
Л.Г. Яковлева
ИСТОЧНИК:http://kad.arbitr.ru/Card/eb1907d9-be95-4b0e-85c7-0481aef89b31
Обжалование решений Роскомнадзора
категорий:
Обработка персональных данных без согласия законных представителей обучающихся и работников
Обработка специальной категории персональных данных с нарушением требований законодательства
Разглашение информации, содержащей персональные данные жильца многоквартирного дома
Сбор персональных данных посредством сайта без согласия
Размещение на доске почета персональных данных без согласия
Обработка персональных данных при отзыве согласия
Предоставление персональных данных в силу уступки прав требования
Передача персональных данных должников по договору уступки права требования
В ходе проверки туристической фирмы выявлены нарушения закона
В деятельности учреждения выявлены нарушения
Оспаривание предписания в части
Передача персональных данных собственника помещения в МКД ресурсоснабжающей организации